안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
코로나의 영향으로 2월도 택배 관련 스미싱이 주류를 이루고 있었습니다. 이전 달과 다른점은 설 연휴 기간 스미싱 공격이 감소 했다는 점 입니다.
2월 스미싱 트렌드
ESRC에서 수집 한 2월의 스미싱 공격을 데이터와 통계를 통해 살펴보도록 하겠습니다.
2월 한 달간 수집된 스미싱을 키워드로 분류하면 다음 표와 같습니다.
키워드 | SMS 내용 |
택배 | 택배 도착 등의 문구로 구성 |
건강검진 | 건강 검진 결과 등의 문구로 구성 |
금융 | 대출과 연관된 문구로 구성 |
수사기관 | 수사 기관을 사칭 |
[표 1] 수집 스미싱 문자들의 키워드 기반 분류
다음 그림은 스미싱 키워드 별 발견 비율을 보여주고 있습니다.
그림을 살펴보면 지난 1월과 마찬가지로 2월 한 달간 이루어진 스미싱 공격의 대부분은 택배 스미싱에 집중되어 있음을 알 수 있습니다. 택배 스미싱이 전체의 99.8%를 차지하고 있습니다.
이어서 건강 검진 관련 스미싱 문자가 0.11%를 차지하고 있으며 나머지 스미싱 문자의 발견 비율은 0.06% 정도입니다.
다음 그림은 발견된 스미싱 문자의 화면입니다.
각 키워드 별 주요 스미싱 문자들을 살펴보도록 하겠습니다. 발견 비율은 스미싱 키워드 별로 분류된 문자 내에서의 비율입니다.
가장 많이 발견되고 있는 택배 스미싱 문자부터 살펴보도록 하겠습니다. 다음 표는 발견 비율이 높은 상위 10개의 택배 스미싱 문자들을 정리한 것입니다.
택배 | 발견비율 |
구매하신 선물은 CJ 익스프레스로 배송되며 배송 시간은 다음과 같습니다 hxxps://tinyurl[.]com/xxxxxxxx | 32% |
구매하신 선물은 우체국 택배에서 배송되었으며 배송 시간은 다음과 같습니다 hxxps://shorturl[.]at/xxxxx | 30% |
구매하신 선물은 CJ 대한 통운에서 배송되었으며 배송 시간은 다음과 같습니다 hxxp://shorturl[.]at/xxxxx | 15% |
구매 한 선물은 CJ택배에서 배송되었으며 배송 시간은 다음과 같습니다. hxxp://shorturl[.]at/xxxxx | 13% |
제품이 배송되었습니다. 자세한 내용을 보려면 아래 URL을 클릭하.십시오 hxxps://tinyurl[.]com/xxxxxxxx | 4.7% |
G마켓 온라인쇼핑 주문하신 물품 배송했습니다 물품확인하세요 hxxp://shorturl[.]at/xxxxx | 3.2% |
{택배} 02/2 고객님 택 배 배 송 불가/\"주\"소\"불 명.\"주\"소 지 확 인:{ wa[.]gl/xxxxx } | 0.07% |
[c j대한통운](알림문 자)01/31배송예정물품/”주\"소 확인바랍 니다:< c11[.]kr/xxxxx > | 0.06% |
상품 택배보냈습니다 확인부탁합니다 asq[.]kr/xxxxxxxx | 0.06% |
구매하신 선물은 CJ 대한 통운에서 발송 한 것으로 구체적인 배송 시간은 다음과 같습니다. hxxp://shorturl[.]at/xxxxx | 0.03% |
[표 2] 택배 스미싱
표를 살펴보면 1월 유행하던 스미싱 문자의 일부만 변경하여 지속적으로 유포하고 있음을 알 수 있습니다.
위 표의 스미싱 문자들에서 변경되는 부분을 살펴보면 택배회사의 회사명, 조사, 뛰어쓰기 등을 수정하여 유포하고 있음을 알 수 있습니다.
다음은 건강 검진 스미싱 문자를 살펴보겠습니다.
건강검진 | 발견비율 |
[Web발신] <건강검진>통^지^서 내용확인:xx.xxxx[.]guru | 40% |
[Web발신](광고)검진모아[건강검진]통-지-서 내용확인:x.xxxx[.]shop무료거부 0801574622 | 16% |
[Web발신] 국민건강검진 통 지서입 니 다 자세 한 내용을 확인! url[.]kr/xxxx | 8% |
[국 민 건 강 검 진]통지 내용보기:x.xxxx[.]website | 6% |
[Web발신] 국 민 건 강 . 검 진 통 지 서. 내 용 확 인 해 주 세 요! hxxps://url[.]kr/xxxxx | 4% |
[표 3] 건강 검진 스미싱
건강 검진 관련 스미싱 문자들의 내용은 대동소이합니다. 건강 검진 관련 스미싱은 매년 국가에서 무료로 시행하는 건강 검진과 관련된 것으로 위장하여 피해자를 속이고 악성 앱 설치를 유도합니다.
다음은 금융 기관을 사칭하는 스미싱 문자들을 살펴보겠습니다.
금융 | 발견비율 |
OOO 고객님 OOO저축은행 OOO팀장입니다 모델터치하시고 사이트하단 다운로드 누르셔서 설치하신후 상담신청란에 인적사항 빠짐없이 기재 해주시면 됩니다. 154.xxx.xxx[.]xxx/okbankc2/ | 17% |
OOO [OOO저축은행 - 정부지원 대환대출 간편대출신청] 고객명 : OOO 고유번호 : L984335 본인인증PIN : 156.xxx.xxx[.]xxx 담당자 : OOO ① 상단의 본인인증PIN 옆에 숫자 클릭 ② 하단에 [지금 유행App다운로드] 클릭하여 앱다운로드 및 설치 ③ 설치된 어플 열기 후 ' 신용 변동 없는 한도조회' 터치 후 신청서 작성 ④ 담당자 확인 *최종 승인 전까지 신청/진행내용 확인이 필요합니다. *최종승인처리 과정에서 본인확인차원으로 신분증 확인 및 신청/진행 내용 확인이 필요하니 대출진행이 완료될 때 까지 모바일 신청서는 그대로 유지 바랍니다 | 13% |
OOO 154.xxx.x[.]xxx | 8% |
감사합니다~^^ hxxp://218.xxx.xxx[.]xxx:xx | 8% |
[Web발신] 103.xx.xx[.]xxx/kbskm83 | 4% |
[표 4] 금융 기관 사칭 스미싱
금융기관을 사칭하는 스미싱들 중 피해자의 이름과 IP 만으로 구성된 스미싱 문자가 있습니다. 언뜻 보면 스미싱임을 알 수 없으나 IP를 클릭 후 설치된 앱을 실행해 보면 대출 관련 내용으로 꾸며진 가짜 금융기관 앱이 실행됩니다.
금융 기관 사칭 스미싱 문자를 받은 피해자가 때마침 대출을 고려하고 있다면 피해를 입을 가능성이 클 것입니다.
다음은 수사기관 사칭 스미싱 문자를 살펴보도록 하겠습니다.
수사기관 | 발견비율 |
[Web발신] 사건 처리결과 통보 .내용확인 bit[.]ly/xxxxx | 40% |
[Web발신] 사이버 검찰청 국민안전검사 bit[.]ly/xxxxx | 20% |
[표 5] 수사기관 사칭 스미싱
문자를 살펴보면 사건 처리 내용을 통보하는 식으로 수사기관을 가장하고 있지만 하단의 단축 URL이 스미싱임을 알려주고 있습니다.
이런 교묘한 유인책은 의외로 쉽게 통할 수 있기에 주의 하여야겠습니다.
다른 악성 앱 공격도 그렇겠지만 스미싱 공격 또한 사전 예방이 가장 중요합니다. 스마트폰을 사용하시는 분들은 스스로 보안의식을 고취시킬 필요가 있으며 스미싱에 대한 경각심을 가져야 하겠습니다.
스미싱의 예방 방법은 비교적 간단합니다. 문자 내의 URL 링크를 클릭하지 않거나 다운로드한 악성 앱을 설치하지 않으면 됩니다. 그리고 알약M과 같이 신뢰할 수 있는 백신 앱을 설치하여 사용하는 것도 피해를 예방하는 데 도움이 됩니다.
알약M의 악성 앱 탐지 화면
Spyware.Ursnif 악성코드 분석 보고서 (0) | 2021.03.17 |
---|---|
ESRC 주간 Email 위협 통계 (3월 둘째주) (0) | 2021.03.16 |
발주서 파일로 위장한 “NAVER WORKS” 피싱메일 주의!! (0) | 2021.03.11 |
사생활 녹화 영상으로 협박하는 hoax 메일 주의!! (0) | 2021.03.10 |
외교안보 전문가 대상 표적 공격 급증 주의보 ‘탈륨’ 조직 연루 (0) | 2021.03.10 |
댓글 영역